30 июля 2019 г.
Ситуация вокруг персональных данных (ПД) представляет интерес для нас по причине разнопланового и разнонаправленного влияния на весь рынок ИТ. Поговорим про оба тренда, актуальность которых подчеркивают недавно произошедшие события, часть из которых скандалы, явные или потенциальные, часть — мощные технологические прорывы, иллюстрирующие широчайшие возможности новых технологий для бизнес-задач.
Государство действует на опережение
Законодательная база, определяющая регламенты работы с персональными данными, существует практически во всех развитых странах. Основные кейсы известны — это европейский GDPR, достаточно хорошо разработанный российский ФЗ-152 и т.д. Заметим, что в США принят ряд законов на уровне штатов, но пока нет единого федерального закона.
Некоторые положения законов иногда выглядят в современных условиях довольно странно — например, требование хранить персональные данные на территории страны — но это в ряде случаев становится драйвером для рынка. Так, соответствующее требование ФЗ-152 стало одним из стимулов для развития всего сегмента ЦОДов в РФ.
Заметим, что есть и ряд других позитивных эффектов от законодательных инициатив, но есть и определенные риски для бизнеса. Чтобы понять, зачем бизнесу вообще нужны персональные данные, какие возможности они дают и какие риски несут, нам надо поговорить о современном состоянии этого направления.
Персональные данные — широкое понятие
Большинству граждан уже хорошо известно, что к персональным данным относятся паспортные данные, ИНН, адрес регистрации, данные банковских карт. Криминальные истории, связанные с выдачей по похищенным этим данным кредитов, регистрации подставных фирм и прочих мошеннических действий научили россиян бережно относиться к этой форме ПД.
Однако, к категории ПД относится и другая информация, позволяющая однозначно идентифицировать человека, в частности, биометрическая (отпечатки пальцев, рисунок радужной оболочки и сетчатки глаза, ДНК, изображение лица и т.д.) и поведенческая (особенности почерка, работы с клавиатурой, передвижения и пр.). Например, системы с «компьютерным зрением» могут автоматически идентифицировать человека по особенностям походки практически так же уверенно, как, предположим, графологическая экспертиза (ошибки возможны в обоих случаях, разумеется).
Рост спроса на развитие прикладных систем идентификации выступает драйвером для систем «компьютерного зрения» и прочих решений, построенных на AI в разных формах. Кроме того, персональные данные — выразительный образец BigData и их распространение начинает служить катализатором этого направления (см. врезку).
«Яндекс» может определить род занятий человека и уровень дохода на основе анализа данных с его смартфона. Информации о местоположении, окружающих звуках и ассортименте установленных сторонних приложений, по данным компании, достаточно для определения строителей, водителей такси, курьеров, официантов и художников. Информация о доходе ориентировочна, так как «вилка» в оплате труда значительна в зависимости от опыта работника, его квалификации и других факторов. На данный момент это всего лишь патент, который, возможно, никогда не будет реализован в продукте или в технологии, но он прекрасно показывает возможности BigData и важности бережного отношения к ПД.
Запрещено собирать персональные данные без согласия гражданина. Хранить персональные данные компаниям можно только при наличии соответствующей лицензии.
Зачем это нужно бизнесу
Системы для таргетирования (в самом широком смысле: от персонализации предложений до рекомендательных сервисов и таргетированной рекламы), для поведенческого анализа и для других маркетинговых задач могут использовать различные персональные данные. Некоторые нишевые задачи — например, платежные системы или медицинские компании — по понятным причинам не могут работать без наличия в них ПД клиентов: плательщиков, пациентов и т.д.
Например, при наличии системы цифровых камер, выдающих потоки HD-видео, данные можно использовать не только для задач обеспечения безопасности. Решения на основе «компьютерного зрения» могут выдавать широкий спектр данных, на основании анализа которых можно как корректировать бизнес-логику, так и принимать оперативные решения: как реагируют люди на рекламу и на выкладку товаров на полках, как перемещаются по торговым залам, где «узкие места», а где, наоборот, пустоты и т.д. Можно даже посчитать улыбки на лицах заданной целевой аудитории — нет проблем!
Однако проблемы будут, если система получит информацию о перемещениях (покупках, платежах, улыбках и т.д.) некоего г-на Носова Ивана Ивановича и при этом будет знать, что это именно г-н Носов, а последний не подписывал согласия на сбор и обработку ПД.
Системы, работающие с персональными данными, нужны государственным и муниципальным органам. В качестве примера приведем дорожные камеры, фиксирующие нарушения ПДД. Недавно было объявлено о планах правительства Москвы объединить московские камеры наблюдения в единую сеть, поддерживающую, в частности, функцию распознавания лиц. Эта структура, которая должна объединять 105 тысяч камер, должна стать крупнейшей в мире. По предварительным заявлениям, доступ к ней будет как у правоохранителей, так и у различных столичных департаментов.
Закон избавляет от проблем, но не всегда...
Согласно закону, для работы с ПД нужно получить соответствующее разрешение от физического лица. Это несколько усложняет работу, но вполне реализуемо — например, при выдаче дисконтной карты упомянутому г-ну Носову И.И., при подписании договора об оказании услуг и т.д.
Однако в ряде случаев строгое следование закону не представляется возможным — часть ситуаций при накоплении и использовании ПД попадают в «серую зону», для которой нормы закона не прописаны или допускают различные трактовки. Конечно, в рамках правовой системы совершенствуют и законы, и подзаконные акты — к ФЗ-152 существует ряд поправок от Минсвязи и других госструктур РФ — но область слишком новая и поэтому законы отстают от реалий рынка, а процесс правоприменительной практики находится в стадии формирования.
В результате у бизнеса, деятельность которого связана со сбором, хранением и обработкой персональных данных, а также сопредельными направлениями, появляются очень серьезные дополнительные риски, которые надо учитывать. Но есть и технические проблемы.
Персональные данные воруют хакеры
Базы с персональными данными представляют интерес для хакеров по простой причине: их нелегальное использование может быть выгодно. Есть достаточно простые механизмы, позволяющие монетизировать эти данные. Со звонками якобы от «служб безопасности банков» сталкивались очень многие. Судя по всему, такой вид преступной деятельности оказывается выгодным — на российском «черном рынке» стоимость персональных данных растет. Например, за первую половину текущего года стоимость баз с данными банковских карт или выписок по операциям, которые мошенники используют упомянутым выше способом для фишинговых атак методами социальной инженерии, выросла в
Общая сумма хищений с карт физлиц за прошлый год составила 1,4 млрд руб., по данным Центробанка РФ, причем 97% атак проводились с помощью социальной инженерии, для которой нужны персональные данные. Сумма прошлогоднего ущерба оказалась в 1,4 раза больше результатов позапрошлого года, причем присутствует тенденция к росту — почти треть хищений пришлась на последний квартал года.
Данные воруют, данные оказываются в свободном доступе по халатности и другим причинам. За последние месяцы с этим связано множество скандалов как на глобальном, так и на российском рынках. Например, в свободном доступе оказались данные 275 млн жителей Индии (причем подробные: имена, адреса электронной почты, номера телефонов, дата рождения, данные об образовании и профессиональных навыках, история трудоустройства, информация о текущей работе и зарплате), Facebook допустил утечку данных 87 млн пользователей (это произошло еще во время президентских выборов в США, но точка в этом деле поставлена лишь недавно), «Озон» допустил кражу более полумиллиона пар логин-пароль (по другим данным — несколько десятков тысяч) и т.д. За всем этим стоят репутационные потери компаний и в ряде случаев огромные штрафы от государства. Например, за упомянутую утечку Facebook уже заплатил государству штраф в 5 млрд долл., что не исключает последующих выплат по индивидуальным искам.
Очевидно, что рост объема персональных данных и их актуальности для хакеров требует нового уровня инфобезопасности и более бережного отношения к информации. Утечка данных — в результате хакерской атаки или халатности — может стоить компании огромных денег, привести к отзыву лицензий и прочим неприятностям.
Что это значит для национального ИТ-рынка
Современная ситуация с персональными данными приводит к появлению ряда факторов, которые положительно влияют на развитие ИТ в РФ, что особенно заметно в некоторых важных направлениях. Подводя итоги, отметим, что это дополнительный стимул для разворачивания ЦОДов на территории страны, для развития технологий работы с AI и BigData, а также для повышения требований к защищенности огромного пласта данных, так или иначе связанных с персональными данными граждан, равно как и в целом к вопросам инфобезопасности.
Однако несовершенства законодательства и технические проблемы приводят к тому, что сегодня при работе с персональным данными бизнесу приходится перестраховываться, быть крайне внимательным и осторожным, учитывать дополнительные риски. Это требует дополнительных затрат, но иного пути нет — в ряде случаев отказ от использования ПД приведет к снижению эффективности маркетинга.
Для оптимизации затрат в будущем бизнесу — компаниям, отраслевым объединениям, экспертному сообществу и т.д. — нужно принимать активное участие в разработке правовой базы, активно сотрудничая с государственными структурами: с законодателями, правительственными структурами и т.д.
Источник: crn.ru